El pasado 19 de noviembre de 2025 la Comisión Europea presentó el denominado paquete Ómnibus Digital, un conjunto de propuestas legislativas que persigue revisar, armonizar y simplificar los principales instrumentos del derecho digital europeo. Se trata de una reforma que pretende modificaciones directas sobre el RGPD, el Reglamento de IA, las normas de ciberseguridad y el marco regulatorio de datos, con repercusiones inmediatas tanto para empresas como para las autoridades de control y supervisión, en caso de que se apruebe.
- Modificaciones propuestas al RGPD
La Comisión plantea una reforma del RGPD orientada a aligerar cargas y clarificar conceptos cuya aplicación práctica ha generado divergencias interpretativas. Entre los aspectos más significativos destacan:
- Reformulación del concepto de datos personales, reforzando el elemento de identificabilidad real y efectiva.
- Introducción de nuevas excepciones al artículo 9, permitiendo el tratamiento de datos biométricos para verificación de identidad cuando el control permanezca en el usuario, y también su utilización para el entrenamiento de sistemas de IA bajo salvaguardas reforzadas.
- Flexibilización de determinadas obligaciones de información, cuando el interesado ya disponga de los datos.
- Ampliación del plazo de notificación de brechas de seguridad a 96 horas en los supuestos de riesgo elevado.
- Reglamento de Inteligencia Artificial (AI Act)
El paquete Ómnibus introduce ajustes relevantes en el desarrollo normativo del Reglamento de IA, con el fin de facilitar su puesta en marcha y evitar disfunciones operativas. Destacan:
- Vinculación de la plena aplicabilidad de las obligaciones para IA de alto riesgo a la existencia efectiva de estándares y guías técnicas, superando el riesgo de exigir cumplimiento sobre bases aún no definidas.
- Ampliación de fases transitorias, que en algunos casos alcanzan los 16 meses, con hitos previstos hasta 2027 y 2028.
- Refuerzo del papel de la Oficina Europea de IA, que consolidaría funciones de supervisión y coordinación sobre modelos de propósito general y sistemas integrados en infraestructuras digitales de escala.
- Impulso de sandboxes regulatorios para permitir el desarrollo y prueba de soluciones con acompañamiento de autoridades.
- Formación en IA: Se elimina la obligación generalizada de formación interna en IA, trasladándose a la Comisión y a los Estados miembros la responsabilidad de promover programas específicos.
- Ciberseguridad: hacia un marco unificado de notificación
Otra de las medidas más destacadas es la creación de un punto único de notificación de incidentes de ciberseguridad, que absorbería las obligaciones de regímenes como NIS2, RGPD, DORA o eIDAS. El sistema sería gestionado por ENISA y se concibe para evitar duplicidades, plazos contradictorios y cargas burocráticas que actualmente impactan de forma notable en sectores como financiero, transporte, energía o servicios digitales.
- Marco europeo de datos: consolidación normativa
El Ómnibus propone reordenar las normas existentes en materia de datos mediante su integración en el Reglamento de Datos (Data Act). Entre las novedades más relevantes para el sector empresarial destacan:
- Protección reforzada del secreto empresarial frente a solicitudes públicas.
- Reducción de cargas en el cambio de proveedor de servicios en la nube.
- Previsión de cláusulas tipo y servicios de asistencia legal para facilitar la aplicación práctica del Data Act.
Esta consolidación pretende homogeneizar obligaciones que, en su estado actual, presentan un grado de dispersión poco eficiente para las organizaciones.
- Próximos pasos
Las propuestas deberán someterse ahora a debate en el Parlamento Europeo y en el Consejo, de modo que es previsible un proceso de negociación complejo, especialmente en materia de protección de datos e inteligencia artificial. Paralelamente, la Comisión ha lanzado el Digital Fitness Check, una consulta pública destinada a evaluar la coherencia del ecosistema normativo, abierta hasta marzo de 2026.